Insolite : Un site de l’U.S Army transformé en TETRIS par un pirate !

6

Voila qui est insolite ! Le pirate français XIIV du groupe Unkn0wn a présenté et exploité une faille XSS sur un sous domaine du site army.mil. Après les universités, america.gov et senat.gov, voici son nouvel exploit !

us_army

La vulnérabilité se base sur un faille XSS qui permet d’exécuter du code JavaScript et HTML au sein du site officiel army.mil. Le moteur de recherche est exploité et des messages JS sont exécutés. Le jeu TETRIS est inclu via une iFrame externe hébergé à l’adresse http://www.unkn0wns.tk/tetris.

A l’instant où cet article est rédigé, la faille fonctionne encore et vous pouvez tester vous-même le TETRIS via ce lien direct embarquant le PoC et l’iFrame. Exploit plutôt marrant en définitive qui démontre une fois de plus que même les plus grands sites Web ne sont pas à toute épreuve !

army-mi-tetris

army-mi-tetris2

6 Commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.